Savunmadan Stratejiye İç Denetimde Üçlü Hat Modeli

Üçlü Savunma Hattı Modeli

Şirketlerin karmaşık yapıları ile denetim ve gözetim eksikliklerinin bir araya gelmesi, 90’lı yıllarda başlayan ekonomik krizlere (1992 Avrupa Para Krizi, 1994 Türkiye Krizi, 1998 Rusya Krizi, 2002 Arjantin Krizi, 2008 Amerika Krizi) zemin hazırlamıştır. Ayrıca gelişen ve değişen teknolojik ihtiyaçlar, finansal, siber, yasal, operasyonel ve benzeri risklerin karmaşık yapılara entegre olması da önemli zorluklara yol açmıştır. Bu koşullar altında IIA 2013 yılında, “Üçlü Savunma Hattı” modelini tasarlayarak kurumların risk yönetimi ve iç kontrol süreçlerinin etkinliğini artırmayı, iç denetimin ilgili rol ve sorumluluklarını ortaya çıkarmayı amaçlayan kapsamlı bir rehber tasarlamıştır.

Bu doğrultuda geliştirilen Üçlü Savunma Hattı Modeli, büyük ve karmaşık risklerin etkin bir şekilde yönetilmesini sağlamak, kurumlara rehberlik etmek ve iç denetimin rol ve sorumluluklarını netleştirmek amacıyla üç aşamalı bir savunma mekanizması sunan yapılandırılmış bir yaklaşımdır.

• Birinci Savunma Hattı: Kurumun operasyonel birimleri, birinci savunma hattını oluşturur. Günlük faaliyetleri yürüten bu birimler, riskleri ilk aşamada tespit eden ve doğrudan yöneten unsurlardır. Risklere en yakın noktada bulunan operasyonel ekipler, süreçlerin doğru şekilde uygulanmasından ve olası risklerin en aza indirilmesinden sorumludur.

• İkinci Savunma Hattı: Bu hat, risk yönetimi, finansal kontrol ve bilgi güvenliği gibi kısmen bağımsız yönetim birimlerinden oluşur. Birinci savunma hattına destek vererek riskleri tanımlar, kontrol eder ve mevcut risk yönetim süreçlerinin geliştirilmesine katkıda bulunur. Aynı zamanda, düzenleyici çerçevelerin uygulanmasını sağlayarak risklerin daha sistematik ve etkin bir şekilde ele alınmasını sağlar.

• Üçüncü Savunma Hattı: Bu hat, iç denetim fonksiyonundan oluşur. Uluslararası mesleki standartlara uygun olarak, kurumun risk yönetimi, yönetişim ve iç kontrol süreçlerini bağımsız ve objektif bir bakış açısıyla değerlendirir. Yönetimden bağımsız bir yapıya sahip olan iç denetim, sunduğu güvence ve danışmanlık hizmetleriyle organizasyonun risk yönetim çerçevesini güçlendirmeye katkıda bulunur.

Bu model, kurumların riskleri etkin bir şekilde yönetmesini, süreçlerini iyileştirmesini ve daha güçlü bir yönetişim yapısı oluşturmasını hedeflemekteydi. Ancak modelin hayata geçirilmesinin üzerinden henüz altı yıl geçmiş olmasına rağmen, hızla gelişen teknoloji, dijitalleşme, yeni risk unsurlarının ortaya çıkışı ve kurumların giderek daha karmaşık hale gelmesi gibi faktörler, modelin günümüz ihtiyaçlarına yanıt verme kapasitesini sınırlamıştır. Ayrıca yapay zeka ve robotik teknolojilerin iş dünyasında köklü dönüşümler yaratması, mevcut yapının esneklik gereksinimini artırmıştır.

Bunlara ek olarak, Dördüncü Sanayi Devrimi ile birlikte iş dünyasında yaşanan köklü değişimler, geleneksel risk yönetim yaklaşımlarının yetersiz kalmasına neden olmuştur. Bunun yanı sıra, modelin kendi yapısından kaynaklanan belirsizlikler, hatlar arasındaki ilişkilerin net olmaması ve koordinasyon eksikliği, modelin geçerliliğini sorgulanır hale getirmiştir. 2019 yılına gelindiğinde, riskleri yalnızca savunmacı bir yaklaşımla ele almak yerine, fırsatları da değerlendiren proaktif bir anlayışın benimsenmesi gerektiği sonucuna varılmıştır. Bu doğrultuda, savunmacı (defansif) bakış açısının yerine, stratejik ve atak (ofansif) bir yaklaşımın ön plana çıkması kaçınılmaz olmuş ve Üçlü Hat Modeli çalışmalarına başlanmıştır.

Üçlü Hat Modeli

Günümüzün dinamik iş ortamında, kurumsal risk yönetimi ve iç kontrol süreçlerini daha etkin hale getirmek amacıyla geliştirilen Üçlü Hat Modeli, organizasyonların risklere karşı daha esnek, proaktif ve stratejik bir yaklaşım benimsemesini sağlayan modern bir yapı olarak öne çıkmaktadır. Bu model, kurum içindeki koordinasyonu güçlendirerek risk yönetiminin daha bütüncül ve uyumlu bir şekilde yürütülmesine katkı sunmaktadır.

Üçlü Hat Modeli’ne geçiş süreci incelendiğinde, öncelikli olarak risk yönetimi, kontrol ve yönetişim süreçlerinin organizasyonel başarıyı desteklemesi ve değer yaratımına katkı sağlaması gerektiği vurgulanmıştır. Bunun yanı sıra, proaktif ve duyarlı yaklaşımların teşvik edilmesi, stratejik önceliklerin belirginleştirilmesi, hatlar arasındaki ayrımın daha net tanımlanması ve koordinasyonun güçlendirilmesi önemli geliştirme alanları olarak öne çıkmıştır. Ayrıca, modelin günümüz koşullarına uyum sağlayacak şekilde daha esnek ve çevik hale getirilmesi de kritik bir gereklilik olarak değerlendirilmiştir.

IIA Başkanı Richard F. Chambers, Üçlü Savunma Hattı Modeli'ne yönelik güncellemelerin gerekliliğini şu sözlerle ifade etmiştir: “Üçlü Hat Modeli, büyük ölçüde sağlam risk yönetiminin temeli olarak görülmektedir. Kuruluşların hem reaktif hem de proaktif bir yaklaşımla modeli uygulayabilmesi için yapılan güncellemeler, modelin sürdürülebilirliğini ve değerini korumasına yardımcı olmak amacıyla modernize edilmesini ve güçlendirilmesini sağlamaktadır.” Bu açıklama, modelin güncellenmesine yönelik temel gerekçeyi ortaya koymaktadır.

Üçlü Hat Modeli’nde yer alan birinci, ikinci ve üçüncü hatlar Üçlü Savunma Hattı Model’indeki hatların aksine, hiyerarşik bir yapı olarak algılanmamalıdır. Bu hatlar, yatay koordinasyon ve iş birliği ile hatlar arası uyum ve entegrasyonu temsil etmektedir. Üçlü Hat Modeli’ndeki önemli değişiklikler incelendiğinde;

• İlk modelde yer alan “savunma” kelimesi, yeni modelde çıkarılmıştır. Bu değişiklikle birlikte model, stabil kalmak yerine proaktif bir şekilde hareket etmeye zorunlu kılınmıştır.

• Yeni modelde altı temel prensip benimsenmiştir. Bu prensipler sayesinde esneklik sağlanmış ve yönetişim, yönetim ve iç denetim arasındaki üç hat, katı çizgilere yerleştirilmemiştir (altı prensip aşağıda daha detaylı olarak ele alınacaktır).

• Üçlü Hat Modeli ile birlikte, rol ve sorumluluklar net bir şekilde tanımlanmıştır. Rol ve sorumluluk dağılımı incelendiğinde; ürün ve/veya hizmetlerin sunulmasından ve risklerin yönetilmesinden sorumlu olan İK, İdari İşler, BT gibi destek fonksiyonları birinci hatta, etik, yasal ve düzenleyici şartlara uyum, kontrol, kalite güvence, sürdürülebilirlik gibi süreçler uzmanlık, destek, sorgulama ve izleme ile ikinci hatta yerleştirilmiştir. Üçüncü hatta ise, kurumsal amaç ve hedeflere ulaşacak faaliyetler hakkında bağımsız ve objektif bir şekilde güvence ve danışmanlık sağlama rolü iç denetim birimine verilmiştir. Ayrıca, dürüstlük, şeffaflık ve liderlik gibi rolleri yönetişim organı üstlenirken, dikey iletişimin yanı sıra yatay iletişim de önemsenmiş ve iki yönlü iletişim kurgusu oluşturulmuştur.

Her kurumun kendi içinde farklı dinamikleri, yönetsel ve yöntemsel farklılıkları bulunmaktadır. Bu farklılıklara bağlı olarak, bir kurumun nasıl yapılandırılacağı ve içindeki rollerin nasıl dağıtılacağı gibi konular, yönetim ve yönetişim organının belirleyeceği unsurlardır. Bu çeşitlilik nedeniyle, Üçlü Hat Modeli’nde esnekliği içinde barındıran, prensiplere dayalı bir yaklaşım benimsenmesi teşvik edilmektedir. IIA tarafından yapılan çalışmalar sonucunda altı temel prensip belirlenmiştir. Bu prensipler:

• Birinci Prensip: Kurumun yönetimi, hesap verebilirliği ve güvence sağlaması amacıyla uygun yapı ve süreçlerin oluşturulmasının önemi vurgulanır.

• İkinci Prensip: Bu yapı ve süreçlerin, yönetişim organları tarafından sağlanması gerektiği belirtilir.

• Üçüncü Prensip: Yönetim basamağını oluşturan birinci ve ikinci hat rollerinin net bir şekilde belirlenmesi sağlanır.

• Dördüncü ve Beşinci Prensip: İç denetimin bağımsızlığının ve tarafsızlığının korunmasının yanı sıra, nesnel güvence ve danışmanlık faaliyetlerinin ön planda tutulması hedeflenir.

• Altıncı Prensip: Tüm hatlardaki rollerin koordine bir şekilde çalışmasının gerekliliği vurgulanır.

Bu modelde, önceki yapıdaki sert ayrımlar yeniden gözden geçirilerek, organizasyonların daha esnek, iş birliğine dayalı ve stratejik bir risk yönetimi ve iç denetim yapısına kavuşması sağlanmıştır. Böylece, yönetim, iç denetim ve yönetişimden sorumlu kişilerin etkileşimleri ve rollerinin daha iyi tanımlanmasıyla, kurumlar daha etkili uyum, hesap verebilirlik ve hedeflere ulaşma imkanına sahip olmaktadır.

Yeni modelle birlikte, kurum içinde yer alan departmanlar veya kişilerin sorumlulukları net bir şekilde belirlenmiştir. Yönetişim organı, paydaşların menfaatlerini gözetmek ve hedeflere ulaşmalarını sağlamak için şeffaf bir iletişim kurar, etik davranışı ve hesap verebilirliği teşvik eder, kurum hedefleri için yönetime sorumluluk verir ve gerekli kaynakları sağlar, bağımsız, objektif ve yetkin bir iç denetim fonksiyonu kurar ve bu fonksiyonu denetler.

Birinci hat rolleri (yönetim), kurumun amaçlarına ulaşmak için öncülük eder, yönetişim organı ile kesintisiz bir diyaloğu sürdürür ve kurumun amaçlarıyla ilgili planlanan, gerçekleşen ve beklenen sonuçlar ile riskleri bildirir, risk yönetimi için uygun yapıyı sağlar, yasalara uyumlu ve etik ilkelere bağlı hareket eder.

İkinci hat rolleri (yönetim), risk yönetimi uygulamalarının süreç, sistemler ve kurum düzeyinde geliştirilmesi, uygulanması ve sürekli iyileştirilmesi, yasalara, yönetmeliklere ve etik ilkelere uyum sağlanması konularında tamamlayıcı uzmanlık, destek, izleme ve sorgulama işlevi görür.

Üçüncü hat rolleri (iç denetim), yönetişim organına karşı hesap verebilirliğini ve bağımsızlığını korur, kurumun amaç ve hedefleri doğrultusunda bağımsız ve objektif güvence ve tavsiyede bulunur.

Dış güvence sağlayıcılar ise, paydaşların menfaatlerini korumaya yönelik yasal düzenlemelerle ilişkili beklentileri ve düzenleyici otoritelerin taleplerini karşılar, yönetimin ve yönetişimin iç güvence kaynaklarını tamamlar.

Yönetişim organı, kurumun vizyonunu, misyonunu, değerlerini ve risk iştahını belirleyerek yön vermekten sorumludur. Bu yapı, kurumun hedeflerine ulaşması için gerekli kaynakları ve sorumlulukları yönetim organına aktarır; yönetim ise, planlanan, gerçekleşen ve beklenen sonuçların yanı sıra, riskler ve risk yönetimi konularında rapor sunar.

Öte yandan, iç denetim, yönetimden bağımsız olarak çalışmalarını planlar ve yürütür; bu sayede tarafsız kalır, engellerden uzak olur ve ihtiyaç duyduğu kaynaklara serbest erişim sağlar. İç denetim aynı zamanda hesap verme yükümlülüğünü yönetişim organına iletir. Ancak, bağımsızlık, tamamen izolasyon anlamına gelmez. Kurumun stratejik ve operasyonel gereksinimleriyle uyumlu, anlamlı ve verimli bir şekilde çalışabilmesi için iç denetim ile yönetim arasında düzenli etkileşim ve iletişim kurulması gereklidir.

Bu iş birliği, iç denetimin kurum hakkında bilgi ve kavrayışını derinleştirerek, güvenilir bir danışman ve stratejik ortak olarak sunduğu tavsiyelerin ve sağladığı güvencenin önemini vurgular. Aynı zamanda, yönetimin birinci ve ikinci hat rollerinin yanı sıra iç denetimin katkısıyla, süreçlerdeki gereksiz tekrarlar, çakışmalar veya eksiklikler önlenmiş olur.

Üçlü Hat Modeli, kurumların hedeflerine ulaşmasını ve güçlü yönetişim ile risk yönetimini kolaylaştıran yapıları ortaya koymayı amaçlayarak birçok yeniliği beraberinde getirmiştir:

• Bu model, yönetişim organı, üst yönetim, operasyonel liderler, risk ve uyum personeli ile iç denetim gibi çeşitli liderlerin oynaması gereken rolleri özetlemektedir. Bu roller yalnızca risk yönetimi ile sınırlı kalmayıp, yönetişimi de kapsamaktadır. Ayrıca, modelin sadece savunmacı bir yapıda kalmayıp, stratejik ve proaktif bir şekilde hareket edilmesinin önemini vurguladığı da ortaya konulmuştur.

• Öncelikle, iç denetimin objektifliği, rolü ve bağımsızlığı ön plana çıkarılmıştır. Burada bahsedilen bağımsızlık, hatlar arasında iletişimsizlik anlamına gelmemektedir; aksine, iletişim içinde kalınarak alınacak kararlarda bağımsızlık ifade edilmektedir. Ayrıca, iç denetimin yalnızca güvence veren yönü değil, danışmanlık yönü de vurgulanmıştır.

• Kurumsal risk kavramı, sadece tek yönüne değil, her iki yönüne de odaklanılacak şekilde ele alınmıştır. Üçlü Savunma Hattı’nda yalnızca riskleri minimize ederek reaktif bir pozisyonda savunmacı bir rol üstlenilirken, bu modelle birlikte hem risklerin minimize edilmesi için reaktif, hem de risklerin getirdiği avantajlara odaklanarak proaktif bir yaklaşım benimsenmesi hedeflenmiştir.

• Kurum içindeki yönetim kademelerinin hem birinci ve ikinci hatlarla hem de iç denetimle uyumlu bir şekilde hareket etmesi büyük bir fırsat sunmaktadır. Bu sayede riskler daha düzenli bir şekilde takip edilir, gereksiz tekrarlar, eksiklikler ve denetim yorgunluğu önlenerek kaynakların daha verimli kullanılmasına olanak tanımaktadır.

• Üçlü Hat Modeli yapı ve içerik olarak tüm kuruluşlara hizmet etmektedir. Bu modelle birlikte hem uygulanan kurumlarda yönetişim ve risk yönetimini organize etmek hem de riske dayalı karar vererek fırsatları değerlendirmeyi hedeflemektedir.

• Üçlü Hat Modeli ile iç denetim, kurum içindeki süreçleri ve verileri inceleyerek neden-sonuç ilişkilerini ortaya koymaya çalışmaktadır. Bu süreçte diğer hatlarla iş birliği yaparak, kurum genelinde yol haritalarını ve yönetişimi geliştirmek için mevcut ve potansiyel olanakları değerlendirir. İç denetim, mesleğin kendini yeniden tanımlanması ve geleceğin iç denetim faaliyetlerinin kritik unsurları olarak görülen danışmanlık, öngörü ve güvence unsurları çerçevesinde yalnızca bir güvence sağlayıcısı olmanın ötesine geçer. Aynı zamanda, güvence veren, tavsiyelerde bulunan ve öngörülerde bulunan bir işlevi yerine getirerek konumunu güçlendirmek için mükemmel bir fırsatla karşı karşıyadır.

Yararlanılan Kaynaklar:

IIA (2020),   Küresel Bakış Açıları ve Anlayışlar - Üçlü Hat Modeli Her Kurumun Başarısı İçin Önemli Bir Araç

IIA (2020),  IIA’nın Üçlü Hat Modeli Üçlü Savunma Hattı ile İlgili Güncelleme

BURCA, Nazif (2019). Üçlü savunma hattı nedir? Model neden yenileniyor? https://nazifburca.com/2019/07/31/uclu-savunma-hatti-nedir-model-neden-yenileniyor/

ÖZBİLGER, Halil İbrahim (2021). İç Denetime Yeni Bir Bakış: Üçlü Hat Modelinin Değerlendirilmesi, 40-54

https://www.tide.org.tr/duyuru/836/Uclu-Hat-Modeline-Iliskin-Onemli-Guncelleme-Yayimlandi-22-07-2020

https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf

https://ishayativedenetim.com/2021/05/28/uclusavunmahatti/

ChatGPT

DeepSeek